I. Einleitung
In unserer Reihe über kreditwirtschaftlich relevante Themen in den Tätigkeitsberichten der Datenschutzaufsichtsbehörden (vgl. bereits Teil 1 in: jurisPR-BKR 8/2024, zu LDA Hessen) stellen wir heute Fälle aus dem Tätigkeitsbericht 2023 des Berliner Datenschutzbeauftragten vor.1
II. EuGH zu Bußgeldern gegen Unternehmen
Besonders interessant und praxisrelevant erscheint die Entscheidung des EuGH in Sachen „Deutsche Wohnen“2 (Ziff 1, S. 18), wonach datenschutzrechtliche Bußgelder – entgegen § 30 OWiG – direkt gegen Unternehmen verhängt werden können, wenn ein vorsätzlicher oder fahrlässiger Verstoß gegen datenschutzrechtliche Normen nachgewiesen wurde. Es kommt also nicht auf den Nachweis des Verschuldens einer konkreten Leitungsperson an; es genügt der Verstoß durch einen Beschäftigten. Ein bloßer objektiver Pflichtverstoß genügt jedoch nicht, vielmehr bedarf es eines Verschuldens. Dabei soll es ausreichend sein, „wenn Verantwortliche sich über die Rechtswidrigkeit ihres Verhaltens nicht im Unklaren sein konnten, unabhängig davon, ob ihnen bewusst war, dass sie gegen die Vorschriften der DSGVO verstoßen“ (EuGH, Urt. v. 05.12.2023 - C-807/21 Rn. 76).
III. 300.000 Euro Bußgeld nach abgelehntem (automatisiertem) Kreditkartenantrag
Wegen mangelnder Transparenz bei der automatisierten Ablehnung3 eines Kreditkartenantrages hat die Berliner Datenschutzbehörde gegen eine Bank ein Bußgeld von 300.000 Euro verhängt.
Der Beschwerdeführer verfügte über einen guten Schufa-Score und ein regelmäßiges, hohes Einkommen und war daher verwundert, warum sein Kreditkartenantrag abgelehnt wurde. Die Bank erteilte dem Beschwerdeführer auf Nachfrage nur allgemeine Auskünfte und weigerte sich, dem Betroffenen die Gründe mitzuteilen, warum sie in seinem konkreten Fall von einer schlechten Bonität ausging. Der Beschwerdeführer konnte somit nicht nachvollziehen, ob die Datenbasis, auf der die Ablehnung beruht, möglicherweise unvollständig oder fehlerhaft war und konnte somit keine konkreten Einwände gegen die Ablehnung seines Antrages geltend machen.
Die Bank nutzte im betroffenen Fall ein automatisiertes Kreditkartenvergabesystem, welches verschiedene Daten zur Person, zum Einkommen, zum Beruf und weitere Informationen aus externen Quellen nutzt; der Algorithmus lehnte den Antrag ohne besondere Begründung ab.
Ausgangspunkt der rechtlichen Überlegungen ist Art. 22 DSGVO (automatisierte Entscheidungen im Einzelfall einschließlich Profiling). Gemäß Absatz 3 hätte die Bank angemessene Maßnahmen zur Wahrung der Betroffenenrechte ergreifen müssen. Hierzu gehört auch die Beachtung des Auskunftsrechts nach Art. 15 DSGVO. Für die Score-Berechnung gelten gemäß der EuGH-Entscheidung „Schufa-Scoring“ die erweiterten Auskunftspflichten des Art. 15 Abs. 1 Buchst. h DSGVO.
Da dem Betroffenen keine nachvollziehbare Auskunft erteilt worden war, war der Grundsatz der Transparenz (Art. 5 Abs. 1 Buchst. a DSGVO) verletzt. Damit kam dann die einschlägige Bußgeldnorm des Art. 83 Abs. 5 Buchst. a DSGVO mit einem Bußgeldrahmen von bis zu 20 Mio. Euro oder 4% des Vorjahresgesamtumsatzes zur Anwendung. In diesem Rahmen hatte die Behörde den hohen Umsatz der Bank und die vorsätzliche Ausgestaltung des Antrags- und Auskunftsprozesses bußgelderhöhend berücksichtigt (Art. 82 Abs. 2 Buchst. b DSGVO). Bußgeldmindernd wurde berücksichtigt, dass die Bank den Verstoß eingeräumt und die Prozesse bereits verbessert hatte (Art. 83 Abs. 2 Buchst. f DSGVO). Die Bank akzeptierte das Bußgeld.
Anzumerken ist, dass grundsätzlich von Banken erwartet wird, dass sie automatisierte Entscheidungen stichhaltig und nachvollziehbar begründen können. Dadurch sollen die Betroffenen in die Lage versetzt werden, die automatisierten Entscheidungen nachzuvollziehen. Nach Ansicht der Berliner Aufsicht muss hierzu über die ausschlaggebenden Gründe einer Ablehnung informiert werden. Dies umfasst die konkrete Information über die verwendete Datenbasis, die Entscheidungsfaktoren sowie die im konkreten Einzelfall belegten Kriterien für die Ablehnung.
IV. Luftbildaufnahmen mit einer Drohne nur mit Einwilligung
Banken, die Wertgutachten oder Immobilienverkaufsanzeigen erstellen und hierzu Drohnenfotos verwenden, sollten hierzu immer die Einwilligung der betroffenen Grundstücksbesitzer einholen, da das berechtigte Interesse nach Art. 6 Abs. 1 Buchst. f DSGVO als nicht ausreichend angesehen wird. Zu diesem Ergebnis kam die Berliner Datenschutzaufsicht im Fall einer gerichtlich beauftragten Verkehrswertermittlung im Rahmen einer beantragten Zwangsversteigerung (Ziff. 5, S. 73). Diese Überlegungen lassen sich auch auf Erstellung oder Nutzung von Drohnenfotos durch Banken übertragen. Wenn sich die Luftbildaufnahmen einer Adresse zuordnen lassen und dort Menschen wohnen, stellen die Aufnahmen nach Ansicht der Datenschutzaufsicht immer personenbezogene oder zumindest -beziehbare Daten dar, die der DSGVO unterfallen. Damit bedarf es dann für die Verarbeitung dieser Daten einer Rechtsgrundlage nach Art. 5 Abs. 1 Buchst. a DSGVO, Art. 6 Abs. 1 DSGVO. Im konkreten Fall hatte die Aufsicht kein Bußgeld verhängt, sondern nur eine Verwarnung ausgesprochen (Art. 58 Abs. 2 Buchst. b DSGVO).
V. Werbeeinwilligung trotz Löschverlangen aufbewahren
Wenn eine Bank personenbezogene Daten zu Werbezwecken verarbeitet und sich dabei auf die Rechtsgrundlage der Einwilligung stützt (Art. 6 Abs. 1 Buchst. a DSGVO, ggf. i.V.m. § 7 UWG – z.B. weil ein berechtigtes Interesse nicht ausreichend sicher zu begründen ist oder die Werbung per E-Mail erfolgen soll), trägt sie die Beweislast für die Einwilligung (Art. 5 Abs. 2 DSGVO, Art. 7 Abs. 1 DSGVO). Für den Fall, dass eine betroffene Person ihre Einwilligung widerruft und die Löschung ihrer Daten verlangt4, stellte die Datenschutzaufsicht Berlin (in Ziff. 3, S. 81) klar, dass sich die Löschpflicht nicht auf den Nachweis der ursprünglich vorliegenden Werbeeinwilligung bezieht, sondern die Rechtsgrundlage für die Aufbewahrung der Werbeeinwilligung in der Erfüllung gesetzlicher Pflichten (die, die Einwilligung nachzuweisen, Art. 6 Abs. 1 Buchst. c DSGVO) besteht. Auf diese Rechtsgrundlage und auf die Aufbewahrungsdauer sind die Betroffenen gemäß Art. 13 DSGVO hinzuweisen. Leider verriet die Berliner Datenschutzaufsicht nicht, wie lange die Nachweise für die Werbeeinwilligung ihrer Meinung nach aufbewahrt werden müssen. Naheliegend dürfte jedoch die dreijährige Regelverjährung sein.
VI. Auswertung von Kundendaten zu Werbezwecken
Die Berliner Aufsicht berichtete weiterhin über einen Fall, in dem eine Bank zur Bildung von Werbeprofilen die Daten ihrer Kunden umfassend auswerten wollte, einschließlich der Zahlungsverkehrsdaten und der Daten zum Surfverhalten auf der Webseite der Bank. Dabei wollte sich die Bank auf ein berechtigtes Werbeinteresse nach Art. 6 Abs. 1 Buchst. f DSGVO stützen. Dem hielt die Berliner Datenschutzaufsicht (Ziff. 2, S. 135) in der Interessenabwägung entgegen, dass gemäß Erwägungsgrund 47 der Verordnung auf den Erwartungshorizont des Betroffenen abzustellen ist. Die Frage sei, womit der Kunde vernünftigerweise rechnen müsse. Die Antwort der Aufsichtsbehörde hierauf lautet: grundsätzlich nur mit der Abwicklung des Zahlungsverkehrs und der sonstigen Bankgeschäfte, aber nicht damit, dass die Zahlungsverkehrsdaten und das Surfverhalten von der Bank zu Werbezwecken ausgewertet werden. Dass auf die Datenauswertung zu Werbezwecken in der Datenschutzinformation hingewiesen worden sei, ändere nicht den Erwartungshorizont. Die werbliche Verarbeitung von Zahlungsverkehrsdaten, die sehr sensible Informationen enthalten und ein genaues Bild über den Betroffenen ermöglichen, ist nur auf Basis einer Einwilligungserklärung zulässig. Zusammen mit anderen Banken ist die Berliner Aufsichtsbehörde auf den Bankenverband zugegangen, hat ihre Auffassung mitgeteilt, weitere Unterlagen angefordert und Empfehlungen für die Überarbeitung von Einwilligungserklärungen gegeben.
Der Fall zeigt, dass die Rechtsgrundlage „berechtigtes Interesse“ mit einem erheblichen Rechtsrisiko behaftet ist, da die Aufsichtsbehörde und ggf. auch ein Gericht leicht zu einem abweichenden Abwägungsergebnis kommen können. Damit fehlt dann die Rechtsgrundlage für die Datenverarbeitung, und die Datenverarbeitung ist mithin als rechtswidrig zu beurteilen. In Anbetracht des nicht unerheblichen Bußgeldrisikos ist es empfehlenswert, auf eine Rechtsgrundlage mit geringerem Risiko umzustellen.
Im berichteten Fall war das Abwägungsergebnis auch nicht überraschend, sondern vielmehr zu erwarten. So hatte früher schon eine andere Aufsicht, nämlich der Landesbeauftragte für den Datenschutz (LfD) Niedersachsen, 900.000 Euro Bußgeld gegen ein Kreditinstitut wegen Profilbildung zu Werbezwecken verhängt (vgl. Seiler, jurisPR-BKR 8/2022 Anm. 1). Noch unter altem Recht hatte auch die Hamburger Datenschutzaufsicht ein Bußgeld von 200.000 Euro wegen Kundenprofilbildung zu Werbezwecken (Neuromarketing) gegen die HASPA verhängt.5
Es überrascht daher eher, dass im vorliegenden Fall kein Bußgeld verhängt wurde.
Einwilligungsklauseln hingegen hatten schon vor Gericht Bestand (Allfinanzklausel der Postbank, vgl. Seiler, jurisPR-BKR 3/2012 Anm. 5).
VII. Online-Banking und Kontovollmacht
Die Berliner Datenschutzaufsicht hatte sich auch mit der Gestaltung der Kontodarstellung beim Online-Banking im Fall von Kontovollmachten zu beschäftigen (Ziff. 4, S. 82). Personen, denen Kontovollmachten erteilt wurden, hatten sich darüber beschwert, dass ihnen die Konten ihrer Vollmachtgeber nach einer Neugestaltung des Startportals zusammen mit ihrem eigenen Online-Konto angezeigt wurde. Da Kontovollmachten bis auf Widerruf gelten und auch zum Abruf von Kontoauszügen berechtigen, entschied die Aufsicht diesmal zugunsten der Bank; sie empfahl den Vollmachtgebern zu prüfen, ob nicht auch eine auf einen bestimmten Bedarfsfall beschränkte Vollmacht genügt. Zudem sollten Vollmachtgeber regelmäßig eine Liste der von ihnen erteilten Vollmachten daraufhin überprüfen, ob die Vollmachten weiter bestehen oder widerrufen werden sollten.
VIII. Online-Banking Zugang zur Identitätsfeststellung
Ein Unternehmen, welches Informationen mit hohem Schutzbedarf zwischen verschiedenen Vertragsparteien vermittelt hat, bot u.a. „Online-Banking“ als Methode an, sich im Rahmen der Registrierung zu identifizieren. Hierbei wurden die Nutzer aufgefordert, Angaben zu ihrem Namen und zur kontoführenden Bank zu machen. Sodann sollten sich die Nutzer beim Online-Banking anmelden. Das Unternehmen erlangte so lesenden Zugriff auf das Online-Banking und konnte die Stammdaten verifizieren. Allerdings war der Prozess nicht sehr datensparsam (vgl. Art. 5 Abs. 1 Buchst. c DSGVO), da das Unternehmen auch Zugriff auf alle noch abrufbaren Kontoumsatzdaten erhielt. Damit lag nach Ansicht der Aufsichtsbehörde ein Verstoß gegen die Pflicht vor, angemessene technische und organisatorische Maßnahmen zu ergreifen (Art. 32 DSGVO).
IX. Digitaler Euro – digitale Zentralbankwährung
Im Zusammenhang mit der geplanten Einführung des digitalen Euros verwies die Berliner Aufsicht auf die von ihr mit erarbeitete Stellungnahme des Europäischen Datenschutzausschusses (EDSA), dem Europäischen Datenschutzbeauftragten (EDSB) und anderen Aufsichtsbehörden.6 Wegen möglicher digitaler Datenspuren und der enthaltenen sensiblen Zahlungsdaten bestehen besonders hohe Anforderungen an die Einhaltung datenschutzrechtlicher Vorschriften. Hierzu gehört insbesondere die anonyme Nutzungsmöglichkeit.
